07电信业网络安全问题和对策

10东北财经大学网络教育本科毕业论文电信业网络安全问题和对策作者 吴胜川 学籍批次 200309 学习中心 四川广安 层次 本科 专业 电子商务 指导教师 潘旭 内容摘要介绍电信网络安全在国民经济发展和建设信息化社会中的重要作用以及电信网络面临的安全威胁，只有有效的将技术措施和管理制度结合起来，才能保证网络的安全运行，保障国家经济持续健康发展。关键词：网络安全 防火墙 数据备份 VPN 信息加密目录一、 引言4二、电信网络面临的安全威胁4(一) 计算机病毒4(二) 人为的恶意攻击4(三) 物理原因及其它不可抗力等因素5(四) 软件的缺陷、漏洞、后门等5(五) 密码的遗失、盗取5三、电信企业网络的安全措施5（一） 物理安全措施6（二） 网络安全技术保障措施61、 防火墙技术62、 数据加密技术73、 网络安全扫描技术74、 访问控制技术75、 VPN （虚拟专用网）技术措施86、 VLAN技术措施 8（三） 网络的安全管理措施8四、 结束语9电信业网络安全问题和对策一、 引言中国电信行业的网络系统是以数据通信为基础的计算机综合信息网络，自上世纪90年代初开始得到了迅猛的发展，主要包括Internet网、DDN、ATM、FR网等，为银行业、证券、大型企业和党政部门及其他广大用户提供通信服务和网络服务，截止2004年底，中国电信宽带用户已经达到3018万，电信正为越来越多的企业和用户提供网络服务，其网络一旦瘫痪或出现故障其损失将不可估量。由于电信网络的开放性、共享性和互联性，致使网络易受到黑客、病毒等的攻击，软件的漏洞、缺陷、后门，密码的泄露，远程非法访问等都对网络的安全和网上信息的保密等构成严重威胁。因此，电信企业必须采取各种完善的安全保障措施，否则将给企业和个人带来巨大的经济损失，甚至影响国民经济的健康发展。所以，电信企业应认识到我们的网络面临的严峻挑战，采取物理的和逻辑的，硬件的和软件的，整体的和局部的相结合的立体安全保障措施，保障电信网络的安全性、完整性、保密性和可用性。二、电信网络面临的安全威胁电信网络面临的威胁主要包括两部分，一是对网络结构，主要指物理上的安全的威胁，二是内容上的信息的安全。影响网络安全的因素很多，既有客观的不可抗拒的自然因素，也有人为的；既有无意间带来的安全威胁，也有故意恶意的破坏，归纳起来主要有以下几个方面：（一） 计算机病毒计算机病毒是电信企业目前面临的一个比较突出的安全问题，由于互联网的开放性和网上业务、用户爆炸式的增长，病毒活动日益泛滥，其传播方式也发生了根本的变化，由原来的通过软盘、光盘拷贝式的传播转化为通过互联网、电子邮件等形式传播，它传播的速度非常快，危害很大，往往让大量宽带用户、银行业、校园网等局域网、甚至电信企业整个业务陷于瘫痪，带来不可估量的经济损失。椐不完全统计2004年共发生网络安全事件64686件，发现新病毒13464个，冲击波、蠕虫等病毒爆发时都曾导致大量宽带用户不能正常使用宽带业务，给广大用户带来较大的经济损失。病毒对电信业的威胁主要包括用户终端的感染，导致用户业务不可用；使用电信提供网络信息服务的企业的局域网，如银行、证券租用的DDN、ADSL电路等，一旦系统感染病毒，全部将无法正常营业；电信企业内部的管理终端、性能较低的数据交换机等，感染病毒后导致大量业务不可用，加之不少企业和用户对病毒的危害未引起足够重视，网络上基本未采取防范措施，这就给病毒的入侵、传播大开了方便之门。据不完全统计，中国电信业因为计算机病毒每年带来的直接经济损失超过4500万元。（二） 人为的恶意攻击 这是电信网络面临的又一重大威胁，网络的黑客入侵和计算机犯罪基本都属于这一类。这类攻击又可分为两种情况，一种是主动性的、破坏性强的对网络信息系统进行攻击，如国内发生的政府网站被黑就属于这种，目标就是要摧毁信息网络的有效性和完整性，使网络大面积陷于瘫痪或业务不可使用，带有明显的破坏意图和政治目标。另一种是在不影响网络正常工作的情况下的“软”攻击，主要是截取、窃取、破译、盗窃网上的机密信息、用户的密码帐号等等，如电信宽带用户经常发生的影视帐号、游戏帐号、通过网上银行骗取用户的信用卡号和密码等都属于这种。由于Internet的飞速发展和电信网络规模、用户数量的不断扩大，使得网络的黑客入侵事件逐年增多，企业每年都需要投入大量的人力、财力用于网络安全防范。（三） 物理原因及其它不可抗力等因素电信业的网络结构和能力建设尚不能完全满足用户飞速增长的需要，网络结构需要进一步优化调整，Internet骨干网虽然采用网状网结构，具备一定的抗风险能力，但仍然存在一些需要改进的地方，骨干网中继带宽紧张，易出现网络拥塞，部分核心设备性能低，骨干中继光缆易受到山体滑坡、洪水、冰雹等的影响造成阻断等客观存在。电信企业每年都投入巨额资金用于网络的改造升级，优化网络结构，如四川电信2005年投入1.5亿资金开展的“心网”项目建设就是要解决网络骨干层、汇聚层的问题，保证网络结构更加合理、安全性可靠性更高。（四） 软件的缺陷、漏洞、后门等网络软件不可能是百分之百的无缺陷和无漏洞的，需要在使用过程中不断的修补和升级，电信网络设备和管理软件应该定期进行升级和下载补丁程序，这一点往往不被重视，结果造成非常严重的后果，今年早些时候发生的全国关注的“4.11”断网事件就是一个典型事例。2005年4月11日22：05，中国Chinanet骨干网28台核心路由器因软件缺陷导致系统宕机，发生雪崩效应,整个互联网陷入瘫痪，全面恢复持续时间近两小时，导致该次事故的直接原因经事后调查为骨干网上的6台大区骨干核心CISCO 路由器存在软件缺陷，更新ISIS数据不成功时发生系统重起，导致核心和汇聚的28台路由器更新数据不成功,致使系统瘫痪，全国大量宽带用户断网近两小时。软件的后门一般都是程序开发人员为了工作方便留下的，但它恰恰为网络的恶意攻击和病毒的入侵大开了方便之门，所以我们平时应该及时下载相应软件的补丁程序，堵住后门，亡羊补牢，为时未晚，否则一旦被别人利用，将带来无可挽回的经济损失。（五） 密码的遗失、盗取由于互联网的开放性，用户上网基本都需要各种各样的用户名和密码，但我们的密码失窃、不键壮问题却比较突出，用户的互联星空密码、游戏密码、管理软件的操作密码等太简单，如使用电话号码、生日等作为密码就很容易被不怀好意的人猜中，从而造成他消费，你买单的现象，给用户带来不必要的经济损失。由于密码太简单和失窃给宽带用户带来的帐号被盗产生资费纠纷等问题在前两年比较突出，我们除了要求用户不要使用简单易记的密码、帐号等措施外，电信企业也采取了一些诸如宽带认证、用户上网帐号与端口绑定等措施，保证用户业务使用的安全。三、 电信企业网络的安全措施：电信业网络安全内容包括两个方面：物理安全和逻辑安全。物理安全包括整个网络结构和其附属设备设施的完整、安全、免遭破坏、毁坏等。逻辑安全包括网络上传输的信息的完整性、保密性和可用性。由于电信业在国民经济中的重要作用，其网络安全不仅关系到金融、教育、大型企业等的健康发展，甚至关系到整个国家的整治、经济、国防的安全，可以说电信业的网络安全已经升级为国家的安全，因此，必须制定切实可行的网络安全措施，主要包括：（一） 物理安全措施物理安全就是要保证网络的核心层、汇聚层、接入层的核心路由器、交换机、网络服务器、DNS服务器、网络终端等的安全，免受物理损伤。中国电信的核心网络主要是指Chinanet骨干网，采用“双核心，双路由”的网状网结构，保证网络具有较高的可靠性，核心设备都采用双设备互为主备用，正常情况下两台设备进行流量分担，若其中一台设备出现故障，备用设备自动承担全部流量，保证全国广大用户业务的正常使用。同时由于网状网组网方式的显著优点，若任何一条骨干通信电路发生阻断，由于采用的是动态路由协议，网络将采用迂回路由到达目的地，保证网络的安全畅通。在电信网络的汇聚层，则主要应采用“业务分担、路由备份、多光路、少直联”的网络组网原则，汇聚交换设备、路由设备采用双设备业务分担，中继传输电路进行双备份，采用SDH或WDM构建自愈环网，保证网络的安全可靠。接入网网络主要是用户接入层的线路和终端设施，由于各类银行业及其它如税务、工商等行业单位营业网点或分支机构众多，电信目前基本采用现有的音频线路为其提供通信服务，但由于音频线路的固有特定，其可靠性不高，通信质量无法保证，而电路一旦中断，用户就将无法正常营业或办公，电信企业目前正逐步采用光纤加协议转换器的组网方式将光纤业务直接提供给用户，提高其接入线路的可靠性。（二） 网络安全技术保障措施：1、 防火墙技术防火墙系统是一种保护计算机网络安全的技术手段，它是一个用来阻止网络中的黑客或未经授权访问某个机构的屏障，它既可以是硬件，也可以是软件，它处于被保护网络和其它网络的边界，通过建立起相应的网络通信监控系统来隔离内部和外部网络，阻挡外部网络的入侵。电信通信网络采用的防火墙主要有包过滤防火墙和代理防火墙两种类型。（1） 包过滤防火墙：包过滤防火墙设置在网络层，可以在路由器上实现包过滤。首先需建立一定数量的信息过滤表，信息过滤表是以其收到的数据包头而建成的。信息包头含有数据包源IP地址、目的IP地址、传输协议类型（TCP、UDP、ICMP等）、协议源端口号、协议目的端口号、连接请求方向、ICMP报文类型等。当一个数据包满足过滤表中的规则时，则允许数据包通过，否则禁止通过。这种防火墙可用于禁止外部不合法用户对内部网络的访问，也可以用来禁止访问某些服务类型，如我公司的OA办公网系统、97计费帐务系统等就是采用这类防火墙。（2） 代理防火墙：代理防火墙又称应用级网关防火墙，它一般由代理服务器和过滤路由器组成，也是目前电信企业普遍采用的一种防火墙。它将过滤路由器和软件代理技术结合在一起。过滤路由器负责网络互联，并对数据进行严格选择，然后将筛选过的数据传送给代理服务器。代理服务器起到外部网络申请访问内部网络的中间转接作用，其功能类似于一个数据转发器，它主要控制哪些用户能访问哪些服务类型。当外部网络向内部网络申请某种网络服务时，代理服务器接受申请，然后根据服务器类型、服务内容、被服务的对象、服务者申请的时间、申请的域名范围等来决定是否接受该项服务，如果接受，它就向内部网络转发这项请求。防火墙通过上述方法，实现企业内部网络的访问控制和其它安全策略，从而降低内部网络的安全风险，保护内部网络的安全。但防火墙自身也存在一些弱点，如无法防止内部的攻击和内部网络与互联网通过拨号直接连接等，这些都需要采用其它的技术措施来保证整个通信网络的安全。2、 数据加密技术数据加密技术是一种基本的网络安全技术，被誉为信息安全的核心，它通过变换和置换等各种方法将被保护信息置换成密文，然后再进行信息的存储和传输，这样即使加密信息在存储或传输过程中被非授权人员获得，也可以保证这些信息不为其认识，从而达到保护信息的目的。数据加密技术和密码保护措施是电信企业采用较多的一种网络安全保障措施，由于互联网应用的蓬勃发展、网上购物、电子政务等的日益普及，通信行业竞争的日益激烈，保证网上信息的安全性和用户业务使用的安全性就成为影响电信企业生存发展和提供优质服务必须重点关注的问题。信息加密的目的是为了保护网内的数据、文件、口令和控制信息，保护网上传输的数据和信息不被窃取、修改和伪造。信息加密主要有网络链路加密方法、网络端点加密方法、网络节点加密方法三种。电信企业局端网络设备均有多重加密措施，一是传输的数据均通过加密，加密的方式主要有常规密码算法和公匙密码算法，在常规密码中，收信方和发信方使用相同的密匙，即加密密匙和解密密匙是相同的或等价的。常规密码的优点是有很强的保密强度，且经受住时间的检验和攻击。在公匙密码中，收信方和发信方使用的密匙互不相同，而且几乎不可能从加密密匙推导出解密密匙，公匙密码的优点是可以适应网络的开放性要求，可方便的实现数字签名和验证。在电信业的网络管理系统中，一般实行利用令牌加三级密码保护的方式，令牌完成硬件认证，没有该部件无法进入认证程序，三级密码保护对网管系统的操作进行权限控制，保证网络的安全，使得采用词典攻击或非法攻击基本不可能。在用户端，则采用数字证书密码进行身份认证，用户向电信申请网络服务时会得到一个密码信封，内含用户的帐号和密码，安装电信提供的专门登陆程序，就可享受电信提供的服务，同时电信的DSLAM自动配置测试系统会在用户第一次成功登陆后将用户使用的端口与帐号绑定，其它用户即使盗用帐号在其他端口也无法登陆，因为用户要能够正常登陆网络，必须通过电信公司的RADIUS接入认证服务器的认证，而认证服务器会检测用户使用业务的端口，用户帐号密码等，确保用户上网的合法性。3、 网络安全扫描技术网络安全扫描技术是系统管理员为了及时了解系统中存在的安全漏洞， 采用一定的软件技术，定期对系统中的关键设备按照事先编制的程序进行循环检测的安全技术。电信企业已经建立了一套完善的网络安全扫描体系，四川电信数据网管中心会定期对全省范围内的核心路由器、交换机、BRAS等设备和本地网的网络管理控制终端通过远程网管进行扫描，发现系统存在的软件缺陷、操作系统漏洞、不健全的管理口令、机房核心设备不必要打开的端口等，以互联网安全信息通报的形式下发各地市，并提出整改技术措施，保证数据通信网络安全。4、 访问控制技术访问控制是网络安全防范和保护的主要措施，它的主要任务是保证网络资源不被非法使用和访问。它也是维护网络系统安全，保护网络资源的重要手段。各种网络安全措施必须相互配合才能真正起到保护作用，但访问控制可以说是保证网络安全的核心措施之一。主要包括入网访问控制、网络的权限控制、网络服务器安全控制、网络监测和锁定控制等。 入网访问控制为网络访问提供了第一层访问控制。他控制哪些用户能够登陆到服务器并获取网络资源，控制准许用户入网的时间和准许他们在哪台工作站入网。用户的入网访问控制可分为三个步骤：用户名的识别与验证、用户口令的识别与验证、用户帐号的缺省限制检查。三道关卡中任何一道未过，该用户便不能进入该网络。对网络用户的用户名和口令验证是防止非法访问的第一道防线。用户注册时首先输入用户名和口令，服务器将验证所输入的用户名是否合法，如果验证合法，才继续验证用户输入的口令，否则用户将被拒绝之网络之外。用户的口令是保证用户入网的关键所在。为保证口令的安全性，用户口令不能显示在显示屏上，口令长度应不小于6个字符，且不能用全1或全0及电话号码、生日等容易猜中的数据做密码，最好用无规律的数字、字母及其它字符组合，且必须进行加密。5、 VPN （虚拟专用网）技术措施在电信企业提供的各种网络服务中，象银行、证券业等涉及重要商业机密、经济安全和公安网络涉及国家安全等网络服务，就不能采用常规的联网提供网络服务，必须采取特别的网络安全保护措施。物理隔离和组建专网是最直接的解决办法，但它们实施困难、成本高，不便于资源共享，而具有高品质、高QOS保证的企业虚拟专用网VPN技术就为这类电信企业大客户的通信需求提出了最好的解决手段。 VPN是Internet技术迅速发展的产物，它是在传统的IP网上采用隧道技术，在需要通信时将传输的数据封装在隧道中进行传输，通信中双方通过一定手段明确对方的真实身份，确认后就在共用的通信设施中建立一条私有的专用通信隧道，利用双方得到的通信密匙处理信息，从而既利用了分布广泛的IP网络，又保证了传输数据的高安全性，实现了了低成本在非安全的公用网络上安全传输、交换数据的目的。6、 VLAN技术措施虚拟局域网技术主要是基于局域网技术发展起来的。由于以太网本质上是基于广播技术的，组建一个个的局域网就要采用大量的路由器，且网络结构复杂，时延大。采用交换技术和VLAN技术后，就将传统的基于广播的局域网发展为了面向连接的技术，实现点到点的通信。采用VLAN技术后信息只到达应该到达的地点，防止了大部分基于网络监听的入侵手段，通过虚拟网设置的访问控制，使在虚拟网外的网络结点不能直接访问网内的结点。VLAN的划分有基于MAC地址的、有基于交换机端口的，电信企业一般采用基于交换机端口的VLAN划分技术，按照不同的区域、不同的网络划分不同的VLAN号，然后建立起交换机端口和VLAN ID号的一一对应关系，实现端口、帐号与VLAN的精确绑定。既保证了网络连接的高效和安全，防止帐号被非法盗用（盗用后在其它端口也无法使用），又减少了局域网的广播风暴。VLAN之内的连接采用交换技术实现，VLAN与VLAN之间采用路由实现。（三） 网络的安全管理措施在网络安全中，除了采用上述技术措施外，加强网络的安全管理，制定必要的规章制度和科学合理的应急调度手段，对于确保网络的安全可靠的运行，也是至关重要的。由于网络新漏洞的出现和新威胁的增长，必须通过网络的安全管理收集这些信息，及时采取对应的安全措施，不断调整安全策略，完善安全手段，同时建立各种应急保障措施与响应制度，认真执行应急预案，提高系统的抗攻击和抗灾难的响应能力和时限。网络的安